Node.jsの全バージョンに脆弱性、17日に対策済みバージョンを配信予定

Node.jsの全バージョンに脆弱性、17日に対策済みバージョンを配信予定 5

ストーリー by hylom 2019年12月17日 14時06分
ご注意を部門より

Anonymous Coward曰く、

Node.jsのLTSを含む全バージョンに影響する脆弱性が発見された（Node.js公式サイトでの発表）。これを受けて、12月17日に現行でサポートされているバージョンすべてで修正版がリリースされるとのこと。

脆弱性の内容はパッケージマネージャのnpm v6.13.3でアクセスできないはずのディレクトリにアクセスできる、package.jsonのbinディレクトリに悪意のもとに改造されたcliがインストールされてしまうとかいうことらしい。総じて容易に悪用できるような仕様ではないと考えているそうだが、npm社で検証中とのこと。併せて npm社のアドバイザリに従ってnpmを6.13.4にアップデートしてくれということらしい。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示検索5コメント Log In/Create an Account

サプライチェーン (スコア:1)

by Anonymous Coward on 2019年12月17日 14時24分 (#3732717)

リモートからなんかされるとかいうわけじゃないのね。
https://forest.watch.impress.co.jp/docs/news/1224385.html [impress.co.jp]
パッケージにトラップ仕込まれたらそれだけで大事なんだが、
この脆弱性でもっと深刻な被害が出る可能性があるといったところか。
- 1個のコメントが現在のしきい値以下です。

サプライチェーン (スコア:1)